Security Blog

가상계좌의 정의는 다음과 같다(출처 나무위키) 가상계좌의 사용은 딱 하나 사용자마다 전용의 계좌를 생성하며 다른계좌를 알려주기에 원 고객의 정보가 노출될 일이 없다 (예를들어 '갑'이 '을'에게 입금하려 할때 B에 원계좌가 아닌 가상계좌를 사용해 '을'의 정보를 보호할 수 있다) 또한 사업자와 같이 입금을 많이 받아야하는 사람일 경우 통장에게 구매자 전용 계좌를 만들어 관리도 편할 수 있다. (예시로 A업체에게 구매자 B,C,D,E가 돈을 입금하려할때 A통장으로 보내면 B,C,D,E가 섞여 누가 입금했는지 안했는지 혼란을 주지만 A업체가 각 구매자에게 A-b, A-c, A-d, A-e라는 가상계좌를 생성 시 A는 각 가상계좌 입금내역만 확인하면 된다) 가상계좌의 경우 업체와 은행간의 계약을 통해 만들어지..

얼마전 인터넷 게시판에 두명의 유저가 싸우며 사진과 이름을 올린것을 보았다. 사진과 이름은 개인정보인데 이럴 때 어떤 죄가 있는지 확인해보고싶어 찾아보고 이 내용을 정리한다. 상황정리 인터넷에서 김철수(가명)와 이양아(가명)이 서로 싸우다가 이양아는 김철수의 사진과 이름을 게시판에 올렸다 김철수 까불지마라 이럴때 과연 김철수는 이양아를 어떤 방식에 의거하여 처벌을 주장할 수 있을까 먼저 사진과 이름은 개인정보이다. 특히 이름과 사진이 결합 되면 특정인으로 재단할 수 있는만큼 개인정보보호법(개보법) 위반이 아닐까하고 개보법을 먼저 찾아보았으나 개보법에는 특별한 단어가 있어 위에사항에 해당될 수 없을것 같다. 먼저 개보법의 특별한 단어를 알아보기위해 저 사건의 핵심은 개인정보를 게시판에 "저장" 했으며 협박..

"개인정보보호법 제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례의 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) ④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다."의 항목이 있다. 즉 만 14세 이하 아동에게 서비스를 제공하려면 법정대리인의 동의가 필수인데 이 과정이 굉장히 까다롭기 때문에 많은 기업들이 14세 이하에게는 서비스하지 않는다로 약관에 명시 후 서비스를 제공하지 않는 것을 하고 있다 하지만 커머스의 경우 회원외에 비회원에게도 서비스를 제공하는데 이 때 만 14세 이하 이용자도 서비스를 이용할 위험이 있다 우리..

데이터 바우처를 진행하며 APK에 대해 심도있게 공부하던 와중 악성코드가 의심되는 APK의 경우 권한에 대한 부분을 많이 가져온다는 것을 알게되었다. 물론 진단하는 어플의 경우 악성코드로서 보지는 않지만 컨설팅에서 좀더 뎁스있는 방법으로 권한에 대한 부분을 과하게 받는지 아닌지 확인하여 진단하는 것을 해주면 좋지않을까 하며 해당 부분에 대해 좀더 다루어보려고한다. (실제로 권한을 과도하게 받으면 악성코드가 존재하는 어플리케이션인지 백신에 의해 의심받을 수 있다.) 안드로이드의 권한의 경우 AndroidManifest.xml 파일에 압축되어 정의되어 있다. 위의 예시의 경우 Manifest.xml파일에 총 16개의 permission이란 단어를 포함한다 이중 일부는 실제 퍼미션은 아니지만 위의 사진에서 몇..

apk 파일을 항상 뜯으면서 제대로 알지 못하고 매번 끄적거리는거같아 이번에 모바일 공부하며 공부내용을 정리해보려고한다. 해당 내용은 논문들을 읽어보며 긁어온 내용입니다. Ref: 민승욱, 2012, 안드로이드 악성코드 분석 및 기계학습 기법을 이용한 탐지 방법 -APK(Android Package) 1. dex: Kotlin 및 Java로 이루어진 class를 달빅(vm)에서 인식할 수 있도록 바이트 코드로 변환시킨 실행파일 - 해당 파일은 low 언어이기에 IF-eqz, if-nez 등 분기문으로 작동시키는것을 볼수 있다 - low언어를 읽기위해 dex2jar와 같은 방식의 해석가능한 수준으로 만드는 것이 필요 2. lib: 외부 라이브러리(*.so)가 저장되는 폴더 3. res: 앱 실행 시 필요한..

어느 한날 단톡방에서 외국인 여권에 대한 개인정보처리를 어떻게 하면 좋을까에 대한 대화로 이 글이 시작되었다. 당시 여권정보는 고유식별정보로 처리하고 있는 현행법상 이를 고유식별정보로 처리해야하는가였으며 관련기관에서는 고유식별로 처리 하지 않는다는 답변을 듣고 해당 내용에 대해 궁금증이 생겨 해당 내용에 대해 리서치하고 고찰한 내용을 정리해보았다. 고유식별정보 정리 고유식별정보란 다음의 법령을 따른다(2021-03-19일 기준) 개인정보 보호법 시행령 19조(고유식별 정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는..